Os hackers gostam de explorar as necessidades pessoais e a curiosidade humana inata para roubar informações confidenciais tais como números de cartão de crédito e passwords. Descubra como evitar ao máximo os riscos associados e quais os cuidados a ter para “não morder o isco”.
Conteúdos deste Artigo
O que é phishing
Significado e tradução de phishing
O termo “phishing” é a adaptação ao jargão do verbo inglês “pescar”, entendido como alcançar ou realizar algo fazendo alguém “morder o isco”.
Cyber phishing
Em tecnologia da informação, o termo “phishing” é utilizado para identificar um sistema de fraude ou scam online que é efetuado através do envio de mensagens de e-mail que têm aparência idêntica em termos de conteúdo, logotipo, remetente e identidade gráfica semelhante à das instituições ou marcas conhecidas pelas quais se fazem passar, em que convidam o destinatário a fornecer dados confidenciais que serão usados online para fins maliciosos.
Como funciona o phishing
Milhares de criminosos tentam golpes de phishing todos os dias, enviando e-mails fraudulentos para enormes listas de mala direta, com o objetivo de obter dados confidenciais do destinatário ou acessar um sistema seguro.
O phishing é uma prática muito comum porque é simples, de baixo custo e de baixo risco.
Para os hackers, é relativamente fácil falsificar uma comunicação de uma empresa conhecida e confiável: copiam e colam o logotipo, bem como as referências do site oficial, preparam uma mensagem coerente e pronto. Resta enviar o e-mail para o maior número possível de destinatários, na esperança de que alguém “morda o anzol”.
As listas de destinatários são obtidas online, compradas ilegalmente ou simplesmente criadas através de suposições, utilizando endereços de e-mail genéricos, como info@, vendas@, reclamacoes@, marketing@ etc.
Como reconhecer e-mails de phishing
Um ataque de phishing pode ter muitos objetivos, desde aceder a informações confidenciais até a instalar malware no sistema da vítima. Conclui-se que a aparência de cada e-mail de phishing é diferente, mesmo se houver muitos elementos recorrentes.
- Pouca atenção aos detalhes
Muitas vezes, as mensagens de phishing são negligenciadas, mal escritas, com pouca atenção ao detalhe, e até contêm erros gramaticais e ortográficos. - Textos ambíguos e sem referência
Frequentemente, os e-mails de phishing são desprovidos de referências pessoais e têm conteúdo genérico e ambíguo (por exemplo, “o contrato expira no final do mês” em vez de “o contrato expira em 15/12/2021”) - Anexos e links estranhos
Frequentemente, nessas mensagens, o destinatário incita o utilizador a clicar num link não seguro ou para abrir um documento anexado com uma extensão “estranha”. - Remetente semelhante, mas incorreto
Em muitas ocasiões, os hackers utilizam nomes muito semelhantes aos reais. Por exemplo, podem enviar e-mails de uma caixa de correio como info@dominiios.pt onde o domínio dominiios.pt é tão semelhante ao de dominios.pt que, se não for lido com atenção, é fácil não notar que tem um” i” a mais.
Até mesmo o texto da comunicação deve disparar imediatamente uma campainha de alarme. Na verdade, esses e-mails costumam usar técnicas simples, mas eficazes, para nos levar à ação.
- Senso de urgência
O remetente pode usar frases como “efetue o pagamento imediatamente para evitar a interrupção do serviço”, “responda agora para evitar …” etc. - “Ar” de autoridade ou familiaridade
O destinatário aparente pode ser o seu chefe, o nome do seu amigo ou o nome do banco no qual tem uma conta corrente. - Curiosidade
As mensagens podem estimular a curiosidade humana inata … algo que pede o incita a abrir o email: atualização importante do sistema, alterações na sua conta bancária, é o nosso centésimo cliente e ganhou um prémio, etc.
À primeira vista, os exemplos acima parecem óbvios, mas é fácil cair na armadilha sestiver cansado, um pouco stressado, atrasado, com pressa … o logotipo parece legítimo, o endereço à primeira vista é o correto, o e-mail é urgente e o clique chega.
Como proteger-se de phishing
Para evitar cair num esquema de phishing, recomendamos que:
- Desconfie de qualquer e-mail que exija a inserção de dados confidenciais, como número de cartão de crédito, senha para aceder a serviços ou outras informações pessoais;
- Instale programas antivírus em todas as contas de e-mail, escolhendo soluções seguras e profissionais, como o serviço de anti-vírus e anti-spam da Dominios.pt;
- Verifique cuidadosamente o URL do site que aparece no browser. Certifique-se de que é uma página segura, facilmente reconhecível pela presença de um cadeado e do prefixo https: // (e não http: //) na barra de endereço;
- Nunca clique em links de links “estranhos” contidos na mensagem e não baixe ou abra quaisquer anexos.
- Verifique cuidadosamente a origem da mensagem prestando muita atenção ao conteúdo e à forma.
- Desconfie de e-mails com endereços muito longos, contendo caracteres incomuns.
O que fazer em caso de phishing
Aqui está uma pequena lista de ações e práticas recomendadas a serem colocadas em prática se detetarmos um e-mail de phishing:
- Apague a mensagem.
- Se receber mensagem no endereço de e-mail comercial, notifique a equipe de segurança de TI imediatamente.
- Notifique a empresa ou entidade cujo nome está a ser explorado, com o intuito de a alertar para o facto de que está a ser algo de phishing;
- Denuncie tentativas de phishing à Polícia.
Se clicarmos num link, corremos o risco de fazer download de um arquivo malicioso ou de estarmos a fornecer dados pessoais/confidenciais. Por isso, caso o faça, é essencial aceder ao serviço em questão (possivelmente de outro computador) e alterar a senha, ativar uma limpeza no nosso computador para identificar e bloquear quaisquer vírus e verificar os extratos bancários para cancelar quaisquer transações ilegais.